可用于零日Windows攻击的临时Micropatch
公开披露的Windows零日漏洞允许攻击者在危害低权限帐户时完全控制系统。这是一个解决办法。https://images.idgesg.net/images/article/2018/08/3_patch-training_update-software_band-aid_laptop-with-virus_binary-100768644-large.jpg
微软本月在Windows中留下了两个众所周知的漏洞,但研究人员已经介入并创建了临时补丁,这些补丁可以很容易地应用于保护系统,直到有正式的补丁可用为止。
在12月的最后两周,一个使用在线处理沙盒的安全爱好者发布了详细信息和概念验证,利用代码在Windows中发现了两个特权升级漏洞。Acros Security的研究人员已经通过0patch发布了一个临时的“Micropatch”,这是一个为零天缺陷提供内存二进制修补的服务,他们目前也在测试第二个问题的修补程序。
沙盒攻击者的漏洞之一允许低权限用户读取系统上的任何文件,包括属于其他用户的文件。该漏洞利用了名为msiAdvertiseProduct的Windows功能,该功能使用系统权限执行操作,因此可能导致信息泄漏,特别是如果攻击者知道他们可以公开的潜在敏感文件的路径。
第二个漏洞更为严重,允许低权限用户将任意文件覆盖为系统,可能导致以最高权限执行任意代码。这个缺陷被称为angrypolarbearbug,是0patch.com发布的一个micropatch。
权限提升漏洞不允许黑客在没有用户交互的情况下远程闯入计算机。然而,一旦攻击者通过其他方法(如通过电子邮件发送的恶意软件)破坏低权限帐户,他们就可以利用此类漏洞完全控制系统。Sandboxescaper自8月份以来已经披露了四个Windows权限提升缺陷,第一个缺陷位于Windows任务调度程序中,在微软发布补丁之前,黑客很快就利用了这一缺陷进行攻击。
幸运的是,AngryPolarBearbug不像Windows任务调度程序那么容易被攻击,因为它是一个争用条件,所以需要多次重试才能成功,而且攻击者无法完全控制覆盖文件的数据。沙盒scaper发布的概念验证覆盖了Windows启动过程中所需的关键系统文件,导致拒绝服务条件,而不是任意代码执行。然而,这并不意味着实现代码执行是不可能的。
“我们的Micropatch是针对Windows 10版本1803 64位的,”Acros Security的首席执行官兼0patch.com服务的联合创始人Mitja Kolsek说。我们通常只为一个或多个最流行的版本制作一个Micropatch,并等待用户根据需要表达对移植到其他版本的兴趣。”
如何应用微探针
应用临时补丁需要从0patch.com安装一个小型的软件代理,然后它将直接在内存中修补易受攻击的Windows进程,而不必触摸磁盘上的文件。这个过程称为微补丁,不需要重新启动操作系统,甚至不需要脆弱的过程。当正式的Microsoft更新准备好应用时,只需单击一个按钮就可以删除补丁,而不会留下任何痕迹。
微贴装在多种情况下都很有用。除了消除不存在官方补丁的零日缺陷外,它还可以用来修复软件或操作系统版本中新发现的缺陷,这些缺陷已不再受开发人员的支持。在应用正式补丁需要重新启动受影响的系统或执行关键任务的应用程序的情况下,它也可以用作临时解决方案。
微软在每个月的第二个星期二发布补丁,这一天在软件行业被称为补丁星期二。它很少打破这个周期,通常只有在广泛的攻击中利用关键的零日漏洞时才会发布带外安全补丁。这意味着至少在2月12日之前,该公司不太可能修复沙盒垃圾箱的AngryPolarBearbug和任意文件读取缺陷。
页:
[1]